1. Головна
  2. Положення про забезпечення безпеки персональних даних

link_head

    Положення про забезпечення безпеки персональних даних

    update 22.09.2023 13:33.



    ПОЛОЖЕННЯ

    ПРО ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ

    персональних даних

    ТОВ «РОКСОР»

    04210, м. Київ, проспект Героїв Сталінграда, буд.20-А.

    ЗМІСТ

    1.Терміни та скорочення 

    2.Область застосування 

    3.Общіе положення 

    4. Організація робіт по забезпеченню безпеки персональних даних

    5.Проведение робіт по забезпеченню безпеки персональних даних 

     Терміни та скорочення

     Персональні дані (ПДН) - будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних).

     Оператор - державний орган, муніципальний орган, юридична чи фізична особа, яка самостійно або спільно з іншими особами організують і (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними.

     Обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.

    Автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки.

    Поширення персональних даних - дії, спрямовані на розкриття персональних даних невизначеному колу осіб.

    Надання персональних даних - дії, спрямовані на розкриття персональних даних певній особі або певного кола осіб.

     Блокування персональних даних - тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних).

     Знищення персональних даних - дії, в результаті яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних і (або) в результаті яких знищуються матеріальні носії персональних даних.

     Знеособлення персональних даних - дії, в результаті яких стає неможливим без використання додаткової інформації визначити приналежність персональних даних конкретного суб'єкта персональних даних.

     Інформаційна система персональних даних (ІСПДн) - сукупність містяться в базах даних персональних даних і забезпечують їх обробку інформаційних технологій і технічних засобів.

    Транскордонна передача персональних даних - передача персональних даних на територію іноземної держави органу влади іноземної держави, іноземної фізичній особі або іноземній юридичній особі.

    Галузь застосування

    2.1 Положення про забезпечення безпеки персональних даних (далі - Положення) розроблено з метою виконання вимог законодавства України у сфері захисту персональних даних.

    2.2 Це Положення визначає порядок і правила організації і проведення робіт із забезпечення безпеки персональних даних в ТОВ «РОКСОР».  (далі - Оператор).

    2.3 Цей документ враховує положення основних нормативних правових актів у сфері захисту персональних даних, перерахованих в Положенні про комісії щодо приведення у відповідність c вимогам законодавства в області персональних даних.

    2.4 Це Положення призначене для всіх працівників Оператора, а також третіх осіб, які отримують тимчасовий або постійний доступ до оброблюваних у нього ПДН на законній підставі.

    2.5 Це Положення діє з моменту його затвердження керівником Оператора.

    2.6 Актуалізація цього Положення проводиться не рідше, ніж два рази на рік відповідно до Регламенту щодо проведення контрольних заходів та реагування на інциденти інформаційної безпеки в ТОВ «РОКСОР».

    2.7 Внесення змін до цього Положення або затвердження його нової редакції виробляється на підставі відповідного наказу керівника Оператора.

    Загальні положення

    3.1 ПДН, оброблювані у Оператора, цілі, підстава та терміни їх обробки вказані в Переліку оброблюваних персональних даних.

    3.2 Обробка ПДН здійснюється Оператором з використанням засобів автоматизації та без їх використання.

    3.3 Терміни зберігання ПДН встановлюються в письмовій згоді суб'єкта ПДН на обробку його персональних даних, а також вимогами законодавства України, що встановлюють терміни зберігання документів.

    Організація робіт по забезпеченню безпеки персональних даних

    4.1 Під організацією робіт по забезпеченню безпеки ПДН розуміється формування та всебічне забезпечення реалізації сукупності узгоджених за метою, завданнями, місцем і часом організаційних і технічних заходів, спрямованих на мінімізацію як безпосереднього, так і опосередкованого шкоди від реалізації загроз безпеки ПДН, і здійснюються з метою:

    - запобігання можливих (потенційних) загроз безпеки ПДН;

    - нейтралізації і / або парирування реалізованих загроз безпеки ПДН;

    - ліквідації наслідків реалізації загроз безпеки ПДН.

    4.2 Організація робіт по забезпеченню безпеки ПДН у Оператора повинна здійснюватися відповідно до чинних нормативно-правовими актами та розробленими для цих цілей організаційно-розпорядчими документами щодо забезпечення безпеки ПДН Оператором.

    4.3 Завдання щодо приведення діяльності Оператора у відповідність до вимог законодавства України в області ПДН покладаються на спеціально створювану для цих цілей Комісію та осіб, відповідальних за організацію обробки та забезпечення безпеки ПДН, які можуть бути включені до складу даної комісії.

    4.4 У випадках, коли Оператор на підставі договору доручає обробку ПДН третій особі, Оператору необхідно укласти з цією особою угоду про дотримання безпеки персональних даних, з покладанням на третю особу обов'язки щодо забезпечення конфіденційності і безпеки переданих Оператором ПДН (або включити дане зобов'язання в укладається / чинний договір).

    4.5 Роботи по приведенню діяльності Оператора у відповідність до вимог законодавства України ведуться за двома напрямками: забезпечення безпеки ПДН, оброблюваних без використання засобів автоматизації, і забезпечення безпеки ПДН в ІСПДн Оператора.

    4.6 Роботи по забезпеченню безпеки ПДН, оброблюваних без використання засобів автоматизації, ведуться за наступними напрямками:

    • визначення переліку осіб, допущених до обробки ПДН;
    • визначення приміщень, в яких обробляються персональні дані;
    • інформування працівників Оператора про встановлені правила обробки ПДН і вимог щодо їх захисту, підвищення обізнаності в питаннях забезпечення безпеки ПДН;
    • облік і захист носіїв ПДН;
    • розмежування доступу до носіїв ПДН;
    • знищення ПДН.

    4.7 Організація і виконання заходів щодо забезпечення безпеки ПДН, оброблюваних в ІСПДн Оператора, здійснюються в рамках системи захисту персональних даних ІСПДн (далі - СЗПДн), розгорнутих в ІСПДн в процесі її створення або модернізації.

    4.8 СЗПДн являє собою сукупність організаційних заходів і технічних засобів захисту інформації, а також використовуються в ІСПДн інформаційних технологій, що функціонують відповідно до певними цілями і завданнями забезпечення безпеки ПДН.

    4.9 СЗПДн повинна бути невід'ємною складовою частиною кожної новостворюваної ІСПДн Оператора.

    4.10 Для існуючих ІСПДн, в яких в процесі їх створення не були передбачені заходи щодо забезпечення безпеки ПДН повинен бути проведений комплекс організаційних і технічних заходів по розробці і впровадженню СЗПДн.

    4.11 Структура, склад і основні функції СЗПДн визначаються відповідно до рівня захищеності персональних даних, які обробляються в ІСПДн і моделлю загроз безпеки персональних даних при їх обробці в ІСПДн.

    Проведення робіт із забезпечення безпеки персональних даних

    5.1 З метою оцінки рівня захищеності оброблюваних у Оператора ПДН і своєчасного усунення невідповідностей вимогам законодавства України в сфері захисту ПДН у Оператора раз на рік повинен проводитися аналіз змін процесів захисту ПДН.

    5.2 Аналіз змін проводиться за такими основними напрямками:

    • перелік працівників і третіх осіб, допущених в обробці ПДН, ступінь їх участі в обробці ПДН і характер взаємодії між собою;
    • перелік приміщень, в яких обробляються персональні дані;
    • перелік і обсяг оброблюваних ПДН;
    • мети обробки ПДН;
    • процедури збору, запису, систематизації, накопичення, зберігання, уточнення (оновлення, зміни), вилучення, використання, передачі (поширення, надання, доступу), знеособлення, блокування, видалення і знищення ПДН;
    • способи обробки ПДН (автоматизована, неавтоматизована);
    • перелік уповноважених органів, в рамках відносин з якими здійснюється обробка ПДН;
    • перелік програмно-технічних засобів, що використовуються для обробки ПДН;
    • конфігурація і топологія ІСПДн в цілому і її окремих компонент, фізичні, функціональні і технологічні зв'язки як всередині цих систем, так і з іншими системами різного рівня і призначення;
    • способи фізичного підключення і логічного взаємодії компонент ІСПДн, способи підключення до мереж зв'язку загального користування та міжнародного інформаційного обміну з визначенням пропускної здатності ліній зв'язку;
    • режими обробки ПДН в ІСПДн в цілому і в окремих компонентах;
    • склад використовуваного комплексу засобів захисту ПДН і механізмів ідентифікації, аутентифікації і розмежування прав доступу користувачів ІСПДн на рівні операційних систем, баз даних і прикладного програмного забезпечення;
    • перелік організаційно-розпорядчої документації, яка визначає порядок обробки та захисту ПДН у Оператора;
    • фізичні заходи захисту ПДН, організація пропускного режиму.

    5.3 Результати аналізу змін використовуються для оцінки коректності вимог щодо забезпечення безпеки ПДН, оброблюваних з використанням засобів автоматизації та без використання таких засобів і при необхідності їх уточнення.

    5.4 У Оператора повинен вестися облік дій, що здійснюються працівниками Оператора при обробці ПДН в ІСПДн. Дії з ПДН враховуються в log-файлах ІСПДн і / або в окремій базі даних ІСПДн.

    5.5 Доступ до ПДН здійснюється відповідно до Регламенту щодо допуску працівників і третіх осіб до обробки персональних даних, затвердженого Оператором.

    5.6 Особи, допущені до обробки ПДН, повинні бути проінформовані:

    • про допуск до обробки ПДН шляхом ознайомлення з Переліком посад і третіх осіб, що мають доступ до персональних даних, оброблюваних у Оператора;
    • про категорії, оброблюваних ПДН шляхом ознайомлення з затвердженим Переліком оброблюваних персональних даних;
    • про правила здійснення обробки ПДН шляхом ознайомлення під розпис з Положенням про обробку персональних даних.

    5.7 Неавтоматизована обробка ПДН повинна здійснюватися таким чином, щоб по відношенню до кожної категорії ПДН можна було визначити місця зберігання матеріальних носіїв та встановити перелік осіб, допущених до обробки ПДН. У Оператора повинен вестися облік носіїв ПДН.

    5.8 Фіксація ПДН повинна здійснюватися на окремих матеріальних носіях (окремих документах). ПДН повинні відділятися від іншої інформації.

    5.9 Фіксація на одному матеріальному носії ПДН, мету обробки яких свідомо несумісні, не допускається. У разі якщо на одному матеріальному носії все ж зафіксовані ПДН, мету обробки яких несумісні, повинні бути вжиті заходи щодо забезпечення роздільної обробки ПДН, зокрема:

    • при необхідності використання або поширення певних ПДН здійснюється вибіркове копіювання ПДН, що підлягають поширенню або використання, способом, що виключає одночасне копіювання ПДН, що не підлягають поширенню і використанню, і використовується (поширюється);
    • при необхідності знищення або блокування частини ПДН знищується або блокується матеріальний носій з попередніми вибірковим копіюванням відомостей, що не підлягають знищенню або блокування, способом, що виключає одночасне копіювання ПДН, що підлягають знищенню або блокування.

    5.10 Правила обліку, зберігання і знищення ПДО при неавтоматизированной обробці описані в Регламенті по обліку, зберігання та знищення носіїв персональних даних, затвердженому Оператором.

    5.11 Повинен здійснюватися моніторинг фактів несанкціонованого доступу до персональних даних та вживати відповідних заходів при їх виявленні. Моніторинг здійснюється Адміністратором безпеки ІСПДн.

    5.12 Адміністратором безпеки ІСПДн повинен здійснюватися контроль за прийнятими заходами щодо забезпечення безпеки персональних даних.

    5.13 При обробці ПДН Оператор повинен мати можливість і засоби для відновлення ПДН, в разі їх модифікації або знищення внаслідок несанкціонованого доступу до них. Правила резервного копіювання та відновлення ПДН Оператором встановлені в Регламенті щодо створення резервної копії персональних даних, затвердженого Оператором.

    5.14 Оператор визначає перелік приміщень, що використовуються при обробці ПДН. При цьому організація режиму безпеки, охорона цих приміщень повинні забезпечувати збереження носіїв ПДН, а також виключати можливість неконтрольованого проникнення або перебування в цих приміщеннях сторонніх осіб.

    5.15 Учасники ІСПДн повинні забезпечувати збереження знімних носіїв, які містять ПДН. У разі втрати носія користувачі повинні негайно повідомити про це Адміністратора безпеки ІСПДн.

    5.16 Якщо при роботі з ПДН працівнику Оператора необхідно залишити робоче місце, матеріальні носії ПДН повинні бути захищені від неконтрольованого доступу до них. Для цього матеріальні носії поміщаються в відведених для зберігання місця.

    5.17 У разі досягнення мети обробки ПДН Оператор припиняє обробку ПДН або забезпечує її припинення (якщо обробка ПДН здійснюється іншою особою, яка діє за дорученням Оператора) і знищує ПДН або забезпечити їх знищення (якщо обробка ПДН здійснюється іншою особою, яка діє за дорученням Оператора) в термін , що не перевищує тридцяти днів з дати досягнення мети обробки ПДН, якщо інше не передбачено договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт ПДН. У разі якщо ПДН неможливо знищити, то вони блокуються і знищуються в термін, що не перевищує шести місяців.

    5.18 Проведення робіт зі створення (модернізації) СЗПДн включає наступні стадії:

    • передпроектна стадія;
    • стадія проектування;
    • стадія реалізації СЗПДн;
    • стадія введення в дію СЗПДн.

    5.19 На передпроектної стадії проводиться визначення рівня захищеності персональних даних, які обробляються в ІСПДн, формується Модель загроз безпеки ПДО при їх обробці в ІСПДн, розробляється Технічне завдання на СЗПДн.

    5.20 Визначення рівня захищеності персональних даних, які обробляються в ІСПДн здійснюється відповідно до Регламенту щодо визначення рівня захищеності персональних даних, які обробляються в інформаційних систем персональних даних.

    5.21 ІСПДн Оператора вказані в Переліку інформаційних систем персональних даних.

    5.22 Рівень захищеності персональних даних, які обробляються в ІСПДн, оформляється відповідним актом.

    5.23 Модель загроз безпеки ПДО при їх обробці в ІСПДн формується на підставі керівних документів СБУ України.

    5.24 Перелік актуальних загроз формується для кожної ІСПДн Оператора з урахуванням умов функціонування ІСПДн і особливостей обробки ПДН.

    5.25 За підсумками визначення рівня захищеності персональних даних, які обробляються в ІСПДн і результатами визначення актуальних загроз безпеки ПДН формуються вимоги щодо забезпечення безпеки ПДН, оброблюваних в ІСПДн. Дані вимоги оформляються у вигляді технічного завдання на СЗПДн.

    5.26 Стадія проектування СЗПДн включає розробку СЗПДн в складі ІСПДн, а саме розробку розділів завдання і проекту проведення по створенню (модернізації) СЗПДн відповідно до вимог технічного завдання;

    5.27 Стадія реалізації СЗПДн включає:

    • закупівлю сукупності використовуваних в СЗПДн сертифікованих технічних, програмних і програмно-технічних засобів захисту інформації та їх установку;
    • визначення підрозділів і призначення осіб, відповідальних за експлуатацію засобів захисту інформації з їх навчанням;
    • розробку експлуатаційної документації на СЗПДн і засоби захисту інформації.

    5.28 На стадії введення в дію СЗПДн здійснюються:

    • попередні випробування засобів захисту інформації в комплексі з іншими технічними і програмними засобами;
    • усунення невідповідностей за підсумками попередніх випробувань;
    • дослідна експлуатація засобів захисту інформації в комплексі з іншими технічними і програмними засобами з метою перевірки їх працездатності в складі ІСПД;
    • приймально-здавальні випробування засобів захисту інформації за результатами дослідної експлуатації.

    5.29 У процесі функціонування ІСПДн може здійснюватися модернізація СЗПДн. В обов'язковому порядку модернізація проводиться в разі, якщо:

    • відбулася зміна номенклатури оброблюваних ПДН, що несе за собою зміну рівня захищеності персональних даних, які обробляються в ІСПДн;
    • відбулася зміна номенклатури і / або актуальності загроз безпеки ПДН;
    • змінилася структура ІСПДн або технічні особливості її побудови (змінився склад або структура програмного забезпечення, технічних засобів обробки ПДН, топології ІСПДн і т.п.);
    • відбулася зміна законодавства України в області ПДН, що зачіпає питання забезпечення безпеки ПДО при їх обробці в ІСПДн.

    5.30 При виникненні умов, що впливають на безпеку ПДН (компрометація паролів, порушення цілісності та доступності персональних даних та ін.) Працівник Оператора зобов'язаний негайно проінформувати про це Адміністратора безпеки ІСПДн.

    5.31 Особи, винні в порушенні вимог, що пред'являються законодавством України до захисту ПДН, несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу передбачену законодавством України відповідальність.

    update 22.09.2023 13:33.